操作场景
本文介绍如何使用 CCPCLI 封装机密镜像。
前提条件
已开通 密钥管理服务 KMS 和 容器服务 TKE。
已同意为机密计算平台创建服务相关角色,并 授权调用 其他云服务接口。
步骤1:创建机密应用
步骤2:安装 CCPCLI 命令行工具
步骤3:准备目标镜像
在本示例中,我们使用 dockerfile 创建一个包含 redis 服务的 ubuntu 镜像作为目标镜像。
$ echo 'FROM ubuntu:20.04' > Dockerfile$ echo 'RUN apt-get update' >> Dockerfile$ echo 'RUN apt-get -y install redis' >> Dockerfile$ docker build -t myredis .$ docker imagesREPOSITORY TAG IMAGE ID CREATED SIZEmyredis latest 0f261dd3de17 36 seconds ago 111MBubuntu 20.04 2b4cba85892a 3 days ago 72.8MB
步骤4:封装目标镜像
使用 CCPCLI 的 pack 指令来封装机密镜像,其中
--capp-id
需要设置为 步骤1 创建的机密应用的 ID,--app-image
需要设置为 步骤3 创建的目标镜像名称,其他参数配置可查询 命令行指南-常用命令。注意:
生成的机密镜像名称为
sec_<image_name>
,如果存在同名的镜像,可使用--force
参数覆盖。生成的
sec_<镜像名称>
即为封装的机密镜像。$ ccp-cli pack --app-entry="/usr/bin/redis-server" \\--memsize=2048M --thread=32 \\--tmpl=default \\--secret-id=<user_secret_id> \\--secret-key=<user_secret_key> \\--capp-id=<application_id> \\--app-image=<image_name> \\--app-type=image...Successfully built 96d181069a7eSuccessfully tagged sec_<image_name>:latest